In het kader van de nieuwe paspoortwet worden vingerafdrukken en fotoos opgeslagen in een centrale database die ook voor opsporingsdoeleinden kan worden aangewend.
NRC, 6 februari 2010: Minister ter Horst krijgt prijs schending privacy
Minister Guusje ter Horst heeft gisteravond de Big Brother Award gewonnen.
De digitale burgerrechtenorganisatie Bits of Freedom (BoF) kent de ‘prijs’ toe aan instellingen en personen die inbreuk op de privacy bevorderen.
Volgens de jury spreidt Ter Horst een „gevaarlijk gebrek aan nuance” tentoon in het privacydebat. De jury gaf als voorbeeld de nieuwe Paspoortwet. Ook werd Ter Horsts wetsvoorstel genoemd om gescande autokentekens enige tijd te bewaren, „ook als mensen nergens van worden verdacht”.
zaterdag 6 februari 2010
donderdag 4 februari 2010
Blinde vlek voor identiteitsdiefstal werd verdachte fataal
Het verhaal van Kenneth Koseyem Ehigiene (40) die onterecht in de Bijlmerbajes zat voor drugshandel illustreert dit.
'De Nederlandse overheid heeft mij, een onschuldig man, bijna acht maanden lang gevangen gehouden vanwege hun eigen nalatigheid.'
‘Op 18 december 2002, midden in de nacht, wekte de voordeurbel me uit een diepe slaap. Buiten vroor het. Half wakker stommelde ik in mijn badjas naar de deur. Toen de bel een tweede keer hard en indringend rinkelde, wist ik dat er iets aan de hand was. Voor de deur stonden ongeveer acht politieagenten'.
U staat onder arrest’, meldden ze mij. Voordat ik wat terug kon zeggen, duwden ze me tegen de muur en boeiden snel mijn handen. Mijn vrouw, kinderen en mijn moeder werd gezegd zich stil te houden. ‘U bent een grote drugshandelaar’, zei een van de agenten toen ik hem vroeg waar ik van verdacht werd. ‘U hebt toch de Nigeriaanse nationaliteit?’
„Jullie hebben de verkeerde voor je. Ik ben Kenneth Ehigiene en ik heb de Nederlandse nationaliteit. Ik ben een zakenman en heb niets met drugs te maken’, zei ik met overslaande stem. Mijn handen trilden. ‘Interessant.’ Dat is het enige wat die agent terug zei.
Volledig bericht op: http://www.nrc.nl/achtergrond/article1974611.ece(NRC 6 september 2008 00:00 Ruth Hopkins)
'De Nederlandse overheid heeft mij, een onschuldig man, bijna acht maanden lang gevangen gehouden vanwege hun eigen nalatigheid.'
‘Op 18 december 2002, midden in de nacht, wekte de voordeurbel me uit een diepe slaap. Buiten vroor het. Half wakker stommelde ik in mijn badjas naar de deur. Toen de bel een tweede keer hard en indringend rinkelde, wist ik dat er iets aan de hand was. Voor de deur stonden ongeveer acht politieagenten'.
U staat onder arrest’, meldden ze mij. Voordat ik wat terug kon zeggen, duwden ze me tegen de muur en boeiden snel mijn handen. Mijn vrouw, kinderen en mijn moeder werd gezegd zich stil te houden. ‘U bent een grote drugshandelaar’, zei een van de agenten toen ik hem vroeg waar ik van verdacht werd. ‘U hebt toch de Nigeriaanse nationaliteit?’
„Jullie hebben de verkeerde voor je. Ik ben Kenneth Ehigiene en ik heb de Nederlandse nationaliteit. Ik ben een zakenman en heb niets met drugs te maken’, zei ik met overslaande stem. Mijn handen trilden. ‘Interessant.’ Dat is het enige wat die agent terug zei.
Volledig bericht op: http://www.nrc.nl/achtergrond/article1974611.ece(NRC 6 september 2008 00:00 Ruth Hopkins)
Business Case genaamd Dreiging
As attacks increase, U.S. struggles to recruit computer security experts
The federal government is struggling to fill a growing demand for skilled computer-security workers, from technicians to policymakers, at a time when network attacks are rising in frequency and sophistication. By Ellen Nakashima and Brian Krebs - Washington Post Staff Writer - Wednesday, December 23, 2009
Opvallend is niet alleen een groeiend tekort aan experts, maar ook het soort experts dat wordt gezocht: cyber decision makers, cyber security lawyers, researchers and policymakers. Ofwel: cyber security wordt definieerd als een beleids- en bestuursissue.
Volgens mij is anonimiteit op het web daarbij een van de (grote) hinderpalen. Ofwel: een business case ook voor identity assurance.
Demand is so intense that it has sparked a bidding war among agencies and contractors for a small pool of special talent: skilled technicians with
security clearances. Their scarcity is driving up salaries, depriving agencies of skills, and in some cases affecting project quality, industry
officials said.
Commerce is trying to improve, but it can take years to put the people, processes and technology in place to wage an effective defense, said
Mischel Kwon, former director of the Department of Homeland Security's readiness team. For years, she said, most civilian agencies were forced by
federal law to spend their cyber-funds on security audits as opposed to crafting a strong security program.
And most federal information technology managers do not know what advanced skills are needed to combat cyber attacks, said Karen Evans, information
technology administrator in the Bush administration. Cybersecurity lawyers, researchers and policymakers are also in short supply.
The Pentagon, for instance, lacks a career path to develop "expert decision-making in the cyber field" ,said Robert D. Gourley, a former Defense Intelligence Agency chief technology officer. "The great cyber-generals are few and far between."
Zie: http://www.washingtonpost.com/wp-dyn/content/article/2009/12/22/AR2009122203789_pf.html
dinsdag 2 februari 2010
Rapport Identiteitsmanagement in Nederland
Rachel Marbus heeft met de publicatie Identiteitsmanagement in Nederland, de stand van zaken een nuttige en goed leesbare publicatie geschreven.
Het rapport is te downloaden via http://www.ecp-epn.nl/sites/default/files/Publicatie_Identiteitsmanagement_0.pdf.
Het rapport is te downloaden via http://www.ecp-epn.nl/sites/default/files/Publicatie_Identiteitsmanagement_0.pdf.
STORK - EU interoperable system for e-recognition
STORK is a large scale pilot in the ICT-PSP (ICT Policy Support Programme), under the CIP (Competitiveness and Innovation Programme), and co-funded by EU. It aims at implementing an EU wide interoperable system for recognition of eID and authentication that will enable businesses, citizens and government employees to use their national electronic identities in any Member State. It will also pilot transborder eGovernment identity services and learn from practice on how to roll out such services, and to experience what benefits and challenges an EU wide interoperability system for recognition of eID will bring.
The STORK interoperable solution for electronic identity (eID) is based on a distributed architecture that will pave the way towards full integration of EU e-services while taking into account specifications and infrastructures currently existing in EU Member States. The solution provided is intended to be robust, transparent, safe to use and scalable, and should be implemented in such a way that it is sustainable beyond the life of the pilot.
Meer info in de bijlage, details en project documenten op http://www.eid-stork.eu/index.php?option=com_processes&act=show_process&Itemid=60&id=312.
Zo, nu eerst ‘n eNIK...
The STORK interoperable solution for electronic identity (eID) is based on a distributed architecture that will pave the way towards full integration of EU e-services while taking into account specifications and infrastructures currently existing in EU Member States. The solution provided is intended to be robust, transparent, safe to use and scalable, and should be implemented in such a way that it is sustainable beyond the life of the pilot.
Meer info in de bijlage, details en project documenten op http://www.eid-stork.eu/index.php?option=com_processes&act=show_process&Itemid=60&id=312.
Zo, nu eerst ‘n eNIK...
Kantara Identity Assurance
The Kantara Initiative was announced on April 20, 2009, by leaders of several foundations and associations working on various aspects of digital identity, aka "the Venn of Identity". It is intended to be a robust and well-funded focal point for collaboration to address the issues we each share across the identity community:
• Interoperability and Compliance;
• Testing;
• Identity Assurance;
• Policy and Legal Issues;
• Privacy;
• Ownership and Liability;
• UX and Usability;
• Cross-Community Coordination and Collaboration;
• Education and Outreach;
• Market Research;
• Use Cases and Requirements;
• Harmonization; and
• Tool Development.
The thinking behind Kantara Initiative dates back to the spring of 2008, when these leaders, individuals, organizations and community members started with a blank slate, discussing consumer and industry needs and trying to determine how to best meet these needs. (…) finally arriving at a basic plan that represented consensus among the team and a new approach through a bicameral leadership model. Legal work was then completed against the spirit of what was trying to be accomplished, and significant due diligence was done by various legal teams to assure that bylaws, operating procedures and IPR agreements met the needs of the new organization. Membership is growing quickly as individuals, developers, organizations, governments, technology providers, and enterprises recognize the new opportunities afforded to them through the Kantara Initiative.
De agenda http://kantarainitiative.org/wordpress/about/ biedt een aardig inzicht in wat er wereldwijd rondom IA / IDM speelt.
The Identity Assurance Work Group (IAWG) http://kantarainitiative.org/confluence/display/idassurance/Home has been formed within the Kantara Initiative to foster the adoption of trusted on-line identity services. To advance this goal, the IAEG will provide a forum for identifying and resolving obstacles to market and commercial acceptance that have limited broad deployment and adoption of trusted identity services thus far. The first step will be development of a global standard framework and the necessary support programs for assessing identity service providers (IdSPs) against criteria that determine the level of assurance that a relying party (RP) may assume in evaluating identity claims provided by those IdSPs. The framework and processes will be defined in a way that scales, empowers business processes and benefits individual users of identity assurance services. The framework will be the basis upon which IdSPs, RPs and their services can be certified as compliant with common policies, business rules and baseline commercial terms, avoiding redundant compliance efforts and market confusion about the substance and value of identity assurance delivered. Read the proposed Work Group charter at http://kantarainitiative.org/confluence/display/idassurance/Charter.
• Interoperability and Compliance;
• Testing;
• Identity Assurance;
• Policy and Legal Issues;
• Privacy;
• Ownership and Liability;
• UX and Usability;
• Cross-Community Coordination and Collaboration;
• Education and Outreach;
• Market Research;
• Use Cases and Requirements;
• Harmonization; and
• Tool Development.
The thinking behind Kantara Initiative dates back to the spring of 2008, when these leaders, individuals, organizations and community members started with a blank slate, discussing consumer and industry needs and trying to determine how to best meet these needs. (…) finally arriving at a basic plan that represented consensus among the team and a new approach through a bicameral leadership model. Legal work was then completed against the spirit of what was trying to be accomplished, and significant due diligence was done by various legal teams to assure that bylaws, operating procedures and IPR agreements met the needs of the new organization. Membership is growing quickly as individuals, developers, organizations, governments, technology providers, and enterprises recognize the new opportunities afforded to them through the Kantara Initiative.
De agenda http://kantarainitiative.org/wordpress/about/ biedt een aardig inzicht in wat er wereldwijd rondom IA / IDM speelt.
The Identity Assurance Work Group (IAWG) http://kantarainitiative.org/confluence/display/idassurance/Home has been formed within the Kantara Initiative to foster the adoption of trusted on-line identity services. To advance this goal, the IAEG will provide a forum for identifying and resolving obstacles to market and commercial acceptance that have limited broad deployment and adoption of trusted identity services thus far. The first step will be development of a global standard framework and the necessary support programs for assessing identity service providers (IdSPs) against criteria that determine the level of assurance that a relying party (RP) may assume in evaluating identity claims provided by those IdSPs. The framework and processes will be defined in a way that scales, empowers business processes and benefits individual users of identity assurance services. The framework will be the basis upon which IdSPs, RPs and their services can be certified as compliant with common policies, business rules and baseline commercial terms, avoiding redundant compliance efforts and market confusion about the substance and value of identity assurance delivered. Read the proposed Work Group charter at http://kantarainitiative.org/confluence/display/idassurance/Charter.
VS neemt maatregelen tegen data breach
The American Recovery and Reinvestment Act (ARRA) also includes a section that introduces the first federally-mandated data breach notification law.
...Title XIII of ARRA, also known as the Health Information Technology for Economic and Clinical Health Act (HITECH Act)...
The HITECH Act includes data breach notification requirements for protected health information. Though several states have data breach notification laws covering information used in identity theft (Social Security Numbers, credit card numbers, banking information, etc.), only a few have extended such notification laws to health information. And the federal government has never addressed the issue. Until now
http://www.itbusinessedge.com/cm/blogs/bentley/stimulus-bill-includes-first-and-maybe-only-federal-data-breach-notification-law/?cs=31378&utm_source=itbe&utm_medium=email&utm_campaign=MCS&nr=MCS
...Title XIII of ARRA, also known as the Health Information Technology for Economic and Clinical Health Act (HITECH Act)...
The HITECH Act includes data breach notification requirements for protected health information. Though several states have data breach notification laws covering information used in identity theft (Social Security Numbers, credit card numbers, banking information, etc.), only a few have extended such notification laws to health information. And the federal government has never addressed the issue. Until now
http://www.itbusinessedge.com/cm/blogs/bentley/stimulus-bill-includes-first-and-maybe-only-federal-data-breach-notification-law/?cs=31378&utm_source=itbe&utm_medium=email&utm_campaign=MCS&nr=MCS
Schijn bedriegt, ook - of juist - indien gestaafd door feiten
Duitse seriemoordenaar bestaat niet
De politie in Duitsland heeft twee jaar lang jacht gemaakt op een niet bestaande seriemoordenaar. Vermoedelijk hebben met DNA vervuilde wattenstaafjes de politie op het verkeerde been gezet.
Het DNA van een onbekende vrouw dook voor het eerst op bij een onderzoek in 2007, naar de moord op een agent in de plaats Heilbronn. Het kwam overeen met DNA dat bij zes andere moorden in Duitsland en Oostenrijk was gevonden. Bij DNA-onderzoek worden wattenstaafjes gebruikt om sporen op te pikken. De politie denkt dat staafjes tijdens het productieproces met het DNA van de onbekende vervuild zijn geraakt.
Bron: http://www.nos.nl/nosjournaal/artikelen/2009/3/27/270309_duitseseriemoordenaarbestaatniet.html
De politie in Duitsland heeft twee jaar lang jacht gemaakt op een niet bestaande seriemoordenaar. Vermoedelijk hebben met DNA vervuilde wattenstaafjes de politie op het verkeerde been gezet.
Het DNA van een onbekende vrouw dook voor het eerst op bij een onderzoek in 2007, naar de moord op een agent in de plaats Heilbronn. Het kwam overeen met DNA dat bij zes andere moorden in Duitsland en Oostenrijk was gevonden. Bij DNA-onderzoek worden wattenstaafjes gebruikt om sporen op te pikken. De politie denkt dat staafjes tijdens het productieproces met het DNA van de onbekende vervuild zijn geraakt.
Bron: http://www.nos.nl/nosjournaal/artikelen/2009/3/27/270309_duitseseriemoordenaarbestaatniet.html
The History of Information Security (Elsevier)
"This magisterial book, of almost 900 pages, has joined Kahn, Yardley and Welchmann on my shelf ofserious reference works. Yet it contains much that I found new, surprising and even delightful, despite aquarter century of working in the field. (...) Overall I found this book a goldminea valuable addition to my library. In a business like ours, which depends on the interaction between technology that changes and human nature that doesn't, it's all too easy ignore historical lessons. De Leeuw and Bergstra's book is a worthy antidote. It's also useful thatthe authors come from a wide range of backgrounds, from engineers and historians to lawyers and socialtheorists; a diversity of perspectives also matters."
Ross Anderson, University of Cambridge, Computer Laboratory
Zie http://tinyurl.com/y8d8k9m
Ross Anderson, University of Cambridge, Computer Laboratory
Zie http://tinyurl.com/y8d8k9m
Challenges and Opportunities in Identity Assurance
''The UK is witnessing a profileration of ID schemes ... with common standards the preserve of the banks... inconsistent results in the public sector (particularly in relation to employee verification) ... and a rapid growth in identity fraud''. Sir James Crosby, Maart 2008
Zie http://www.scribd.com/doc/2540635/Challenges-and-opportunities-in-identity-assurance
Hoe zou het in Nederland zijn?
Zie http://www.scribd.com/doc/2540635/Challenges-and-opportunities-in-identity-assurance
Hoe zou het in Nederland zijn?
Policies and Research in Identity Management
First IFIP WG 11.6 Working Conference on Policies and Research in Identity Management (IDMAN'07), RSM Erasmus University, Rotterdam, The Netherlands, October 11-12, 2007
Series: IFIP Advances in Information and Communication Technology , Vol. 261
De Leeuw, E.; Fischer-Hübner, S.; Tseng, J.C.; Borking, J. (Eds.)
2008, X, 160 p. 20 illus., Hardcover
ISBN: 978-0-387-77995-9
http://www.springerlink.com/content/978-0-387-77995-9
Series: IFIP Advances in Information and Communication Technology , Vol. 261
De Leeuw, E.; Fischer-Hübner, S.; Tseng, J.C.; Borking, J. (Eds.)
2008, X, 160 p. 20 illus., Hardcover
ISBN: 978-0-387-77995-9
http://www.springerlink.com/content/978-0-387-77995-9
Uw surfgedrag is een goudmijn voor bedrijven
Probleem blijft de betrouwbaarheid van de aangeboden informatie. Wurtz, directeur van de brancheorganisatie CRM Association: Die hangt rechtstreeks samen met de betrouwbaarheid van de basale gegevens. Je kan nog zon goede analyse doen, maar als de informatie niet klopt, heb je er niets aan. Er is wetgeving over financiële verslaglegging van je bedrijf. Maar er is geen wetgeving die zegt dat als je gegevens vasthoudt van klanten, dat die gegevens kloppend moeten zijn. Op basis van verkeerde informatie worden vaak verkeerde beslissingen genomen. Dat is echt een ondergeschoven kind in het denken van bedrijven.
NRC, Vrijdag 02-10-2009
NRC, Vrijdag 02-10-2009
Website lijkt wel startpagina voor identiteitsfraude
Oud nieuws (december 2007) maar daarom niet minder actueel...
De Amsterdamse hoogleraar informatica Chris Verhoef verbaast zich over de gebrekkige beveiliging van CZ. ,,De website lijkt wel een startpagina voor identiteitsfraude, want met deze informatie kan een crimineel zo een creditcard op naam van iemand anders aanvragen.’’
Zie http://www.ad.nl/binnenland/article1895653.ece
De Amsterdamse hoogleraar informatica Chris Verhoef verbaast zich over de gebrekkige beveiliging van CZ. ,,De website lijkt wel een startpagina voor identiteitsfraude, want met deze informatie kan een crimineel zo een creditcard op naam van iemand anders aanvragen.’’
Zie http://www.ad.nl/binnenland/article1895653.ece
Big Brother? Big Mother!
e-mom, ofwel: current trends in privacy.Zie http://www.indavideo.hu/video/E-mom?action=video_site&video_title=E-mom%3Ftoken%3D7978241d7e8bacb77eea4c493b51d37e
CIO strategic business player from 2000 on...
...deliver business value and control costs at the same time…
http://www.leadershipexpertise.com/resources/CIO%20Current%20and%20Future%20Challenges.pdf
http://www.leadershipexpertise.com/resources/CIO%20Current%20and%20Future%20Challenges.pdf
Banking Review: Beveiliging Wandelt de Bestuurskamer Binnen
En met beveiliging ook customer due diligence en identity assurance.
Zie http://www.bankingreview.nl/?page=bankingreview/artikel&id=20769.
Zie http://www.bankingreview.nl/?page=bankingreview/artikel&id=20769.
KPMG Everett 2009 European Identity and Access Management Survey
...Uiteindelijk blijkt ongeveer de helft van de organisaties tevreden met de resultaten van hun IAM-projecten. De conclusie moet volgens Hermans dan ook zijn dat de waarde van IAM voor de meerderheid evident is en dat zij blijven investeren. Hermans: "De uitdaging voor de komende jaren is om de verwachte voordelen daadwerkelijk te realiseren.
www.kpmg.com.sg/.../Advisory_EuropeanIdenty_AccessMgtSurvey09.pdf
www.kpmg.com.sg/.../Advisory_EuropeanIdenty_AccessMgtSurvey09.pdf
Technologie gaat eigen leven leiden
Professor maakt zich zorgen over impliciete waarden in ict-systemen
Over twintig, dertig jaar overschrijdt het aantal internetknooppunten het aantal hersencellen in het menselijk brein. Dan kan de technologie een eigen leven gaan leiden. Hoogleraar 'Evolutie van het internet' Gerard van Oortmerssen van de universiteit van Tilburg spreekt zijn zorg uit.
http://www.computable.nl/artikel/ict_topics/netwerken/3080006/1276932/techno#ixzz0Tdymc1UX
Over twintig, dertig jaar overschrijdt het aantal internetknooppunten het aantal hersencellen in het menselijk brein. Dan kan de technologie een eigen leven gaan leiden. Hoogleraar 'Evolutie van het internet' Gerard van Oortmerssen van de universiteit van Tilburg spreekt zijn zorg uit.
http://www.computable.nl/artikel/ict_topics/netwerken/3080006/1276932/techno#ixzz0Tdymc1UX
Verlies van persoonsgegevens
Trends in cybercrime
Waarin onder meer:
Verlies van persoonsgegevens op internet vormt een structureel probleem.
Mensen laten bewust en onbewust veel informatie over zichzelf achter op internet.
De mate waarin persoonlijke informatie gekoppeld kan worden, ook als je een redelijke inspanning verricht om bijvoorbeeld privé en zakelijk gescheiden te houden, wordt vaak onderschat.
Met deze informatie worden social engineeringaanvallen op zowel organisaties als privépersonen uitgevoerd.
http://www.govcert.nl/render.html?it=156
Waarin onder meer:
Verlies van persoonsgegevens op internet vormt een structureel probleem.
Mensen laten bewust en onbewust veel informatie over zichzelf achter op internet.
De mate waarin persoonlijke informatie gekoppeld kan worden, ook als je een redelijke inspanning verricht om bijvoorbeeld privé en zakelijk gescheiden te houden, wordt vaak onderschat.
Met deze informatie worden social engineeringaanvallen op zowel organisaties als privépersonen uitgevoerd.
http://www.govcert.nl/render.html?it=156
Informatica: veel bedrijven in problemen door vervuilde bestanden
... grote veranderingsprocessen, productlanceringen, megafusies, het afstoten van onderdelen (en het splitsen van de ict) of audittrajecten zijn haast niet te doen als de informatiehuishouding niet op orde is en data falen. Wie niet over goede data beschikt, raakt klanten kwijt of kan klanten niet goed ondersteunen.
... de Nederlandse ziekenhuizen. Die weten volgens hem weten vaak niet dat ze grote problemen op het gebied van datakwaliteit hebben, stelt Race. Die hebben zo'n driehonderd tot vierhonderd verschillende systemen in gebruik die samen miljoenen records hebben. 'Koppelingen tussen de systemen zijn vaak handmatig aangelegd, en wanneer er in het ene systeem iets verandert worden de wijzigingen niet automatisch doorgevoerd in andere relevante systemen. Dat resulteert in niet-consistente, dubbele en gebrekkige informatie over patiënten.'
Read more: http://www.computable.nl/artikel/ict_topics/infrastructuur/3105384/2379248/informatica-waarschuwt-voor-datafalen.html#ixzz0UIHv5T8b
... de Nederlandse ziekenhuizen. Die weten volgens hem weten vaak niet dat ze grote problemen op het gebied van datakwaliteit hebben, stelt Race. Die hebben zo'n driehonderd tot vierhonderd verschillende systemen in gebruik die samen miljoenen records hebben. 'Koppelingen tussen de systemen zijn vaak handmatig aangelegd, en wanneer er in het ene systeem iets verandert worden de wijzigingen niet automatisch doorgevoerd in andere relevante systemen. Dat resulteert in niet-consistente, dubbele en gebrekkige informatie over patiënten.'
Read more: http://www.computable.nl/artikel/ict_topics/infrastructuur/3105384/2379248/informatica-waarschuwt-voor-datafalen.html#ixzz0UIHv5T8b
Agenten worden getraind om identiteitsfraude te herkennen
Oud nieuws, maar toch...
Politieagenten worden de komende jaren getraind om identiteitsfraude te herkennen. De kennis die de politie heeft over dergelijke fraude, kan zo beter worden ingezet, zei een woordvoerder van de Raad van Hoofdcommissarissen vandaag naar aanleiding van berichtgeving in het Nederlands Dagblad, zie: http://www.republic.nl/nieuws/2008/32/Agent-getraind-op-identiteitsfraude.htm - website www.republic.nl is sowieso wel leuk om te zien hoe de overheid over verschillende dossiers denkt.
In dit verband ook interessant is Meldpunt Identiteitsfraude, zie http://www.bprbzk.nl/idfraude/content.jsp?objectid=17285
Politieagenten worden de komende jaren getraind om identiteitsfraude te herkennen. De kennis die de politie heeft over dergelijke fraude, kan zo beter worden ingezet, zei een woordvoerder van de Raad van Hoofdcommissarissen vandaag naar aanleiding van berichtgeving in het Nederlands Dagblad, zie: http://www.republic.nl/nieuws/2008/32/Agent-getraind-op-identiteitsfraude.htm - website www.republic.nl is sowieso wel leuk om te zien hoe de overheid over verschillende dossiers denkt.
In dit verband ook interessant is Meldpunt Identiteitsfraude, zie http://www.bprbzk.nl/idfraude/content.jsp?objectid=17285
Vingerafdrukken in Database
Privacy is nog steeds in het geding
Medio juli uitten de VN kritiek op de Nederlandse Paspoortwet. Het antwoord van minister Hirsch Ballin (Justitie, CDA) in Genève stelt allerminst gerust. De onlangs aangenomen wet voorziet in de oprichting van een centrale databank met vingerafdrukgegevens van alle Nederlandse paspoorthouders. Bovendien krijgt de officier van justitie onder bepaalde voorwaarden toegang tot de database in opsporingszaken. Het Mensenrechtencomité stelde met klem enkele kritische vragen over de verenigbaarheid van deze databank met artikel 8 van het Europees verdrag van de Rechten van de Mens (EVRM).
http://www.nrc.nl/opinie/article2309614.ece/Wat_wil_Hirsch_Ballin_met_de_Paspoortwet
Medio juli uitten de VN kritiek op de Nederlandse Paspoortwet. Het antwoord van minister Hirsch Ballin (Justitie, CDA) in Genève stelt allerminst gerust. De onlangs aangenomen wet voorziet in de oprichting van een centrale databank met vingerafdrukgegevens van alle Nederlandse paspoorthouders. Bovendien krijgt de officier van justitie onder bepaalde voorwaarden toegang tot de database in opsporingszaken. Het Mensenrechtencomité stelde met klem enkele kritische vragen over de verenigbaarheid van deze databank met artikel 8 van het Europees verdrag van de Rechten van de Mens (EVRM).
http://www.nrc.nl/opinie/article2309614.ece/Wat_wil_Hirsch_Ballin_met_de_Paspoortwet
e-IDea 2009, K.U. Leuven
Op 16 september 2009 vond de Workshop e-IDea 2009 http://www.msec.be/eidea/ws2009/index.php plaats aan de K.U. Leuven.
Presentaties werden gegeven onder meer over eID Belgie, Duitsland en Nederlandse eID. Mijn presentatie, "The Dutch eNIK on its way forward", tref je hierbijgevoegd.
Aardig gezelschap van plm. 50 mensen, naast een goede vertegenwoordiging uit wetenschap en overheid ook enkele policymakers (Griekenland) en een aantal commerciele partijen (o.m. creditcardmij, softwareontwikkelaar).
Er waren enkele leuke discussies, onder andere over de vraag wat een kind jonger dan 5 jaar (DL) met een eID moet – daar kwamen we niet uit...
De vraag werd gesteld of – en zo ja wanneer – er ooit een eenvormige Europese eID zal komen. Die vraag bleef onbeantwoord. Snel zal het in ieder geval niet zijn. Nederland heeft de eNIK plannen voorlopig afgeblazen. De Belgische eID ligt in veel gevallen bij de burger op de plank, om er (soms) van afgehaald te worden wanneer het tijd is voor de belastingaangifte. Duitsland is ver gevorderd met de voorbereidingen voor de eID, de uitrol wordt binnen een jaar verwacht. Maar de – overigens zeer Gruendliche - plannen (daar kunnen wij – ook bij eHerkenning – iets van leren) wijken drastisch af van het lichter uitgevoerde Belgische fabrikaat. Opvallend is ook de Duitse aandacht voor built-in privacy, een thema dat Belgie heeft laten liggen. Maar met een bankkaart kunnen we ook de grens over – wereldwijd zelfs – dus zou dat met een eID niet ook moeten kunnen? Verschil is natuurlijk, grensoverschrijdende financiele transacties zijn sinds jaar en dag gebruikelijk, terwijl transacties tussen burger en overheid – enkele uitzonderingen daargelaten- zich binnen de landsgrenzen afspelen. Ofwel, de eID is bedoeld voor G2C en G2C is naar binnen gericht.
Vervolgens was er de vraag wat mensen ervan weerhoudt een eID te gebruiken. Een mogeljke verklaring is de watervrees voor de electronische handtekening. Want met een klassieke handtekening is het stuk papier dat je ondertekent tastbaar, maar hoe weet je nu zeker dat wat je op het scherm ziet, dat dat ook is wat je tekent? Alleen, dat is bij banktransacties in principe ook zo. Verschil is dat de financiele sector in de loop van tientallen jaren vertrouwen heeft opgebouwd. De transitie van papier naar electronisch is ook niet met een klap gekomen maar is geleidelijk gegaan. En het liability model speelt mee: in geval van security incidenten – die over het algemeen niet naar buiten komen – wordt de financiele schade niet op de klant afgewenteld. Alhoewel het liability model van credit card maatschappijen enigzins lijkt te kantelen sinds de invoering van pincodes op creditcards.
En dan, wat is de business case voor een (nationale) eID. Biedt de eID inderdaad uitzicht op een e-gebouw waarin met een sleutel alle deuren opengaan? Is de business case van de overheden te smal? Staat de business case van de overheid op gespannen voet met de commerciele (neven)doelstellingen? Wordt de eID wel goed in de markt gezet? En – is er wel een business case? Ofwel- zoals men zich in het geval van het BSN – Burger Service Nummer – ook wel afvraagt: wie verleent er service en wie wordt er bediend?
Echter, willen we de business case van de eID boven het domein van G2C uittillen, en gegeven de diversiteit aan Europese oplossingen, is een broker onmisbaar. Maar zo’n broker komt dan wel ‘alles’ van de Europese burger te weten. Weg privacy. De vraag is of daar met zero knowledge cryptografie en challenge response architectuur nog een mouw aan te passen is.
Kortom, er is nog veel werk aan de winkel!
Presentaties werden gegeven onder meer over eID Belgie, Duitsland en Nederlandse eID. Mijn presentatie, "The Dutch eNIK on its way forward", tref je hierbijgevoegd.
Aardig gezelschap van plm. 50 mensen, naast een goede vertegenwoordiging uit wetenschap en overheid ook enkele policymakers (Griekenland) en een aantal commerciele partijen (o.m. creditcardmij, softwareontwikkelaar).
Er waren enkele leuke discussies, onder andere over de vraag wat een kind jonger dan 5 jaar (DL) met een eID moet – daar kwamen we niet uit...
De vraag werd gesteld of – en zo ja wanneer – er ooit een eenvormige Europese eID zal komen. Die vraag bleef onbeantwoord. Snel zal het in ieder geval niet zijn. Nederland heeft de eNIK plannen voorlopig afgeblazen. De Belgische eID ligt in veel gevallen bij de burger op de plank, om er (soms) van afgehaald te worden wanneer het tijd is voor de belastingaangifte. Duitsland is ver gevorderd met de voorbereidingen voor de eID, de uitrol wordt binnen een jaar verwacht. Maar de – overigens zeer Gruendliche - plannen (daar kunnen wij – ook bij eHerkenning – iets van leren) wijken drastisch af van het lichter uitgevoerde Belgische fabrikaat. Opvallend is ook de Duitse aandacht voor built-in privacy, een thema dat Belgie heeft laten liggen. Maar met een bankkaart kunnen we ook de grens over – wereldwijd zelfs – dus zou dat met een eID niet ook moeten kunnen? Verschil is natuurlijk, grensoverschrijdende financiele transacties zijn sinds jaar en dag gebruikelijk, terwijl transacties tussen burger en overheid – enkele uitzonderingen daargelaten- zich binnen de landsgrenzen afspelen. Ofwel, de eID is bedoeld voor G2C en G2C is naar binnen gericht.
Vervolgens was er de vraag wat mensen ervan weerhoudt een eID te gebruiken. Een mogeljke verklaring is de watervrees voor de electronische handtekening. Want met een klassieke handtekening is het stuk papier dat je ondertekent tastbaar, maar hoe weet je nu zeker dat wat je op het scherm ziet, dat dat ook is wat je tekent? Alleen, dat is bij banktransacties in principe ook zo. Verschil is dat de financiele sector in de loop van tientallen jaren vertrouwen heeft opgebouwd. De transitie van papier naar electronisch is ook niet met een klap gekomen maar is geleidelijk gegaan. En het liability model speelt mee: in geval van security incidenten – die over het algemeen niet naar buiten komen – wordt de financiele schade niet op de klant afgewenteld. Alhoewel het liability model van credit card maatschappijen enigzins lijkt te kantelen sinds de invoering van pincodes op creditcards.
En dan, wat is de business case voor een (nationale) eID. Biedt de eID inderdaad uitzicht op een e-gebouw waarin met een sleutel alle deuren opengaan? Is de business case van de overheden te smal? Staat de business case van de overheid op gespannen voet met de commerciele (neven)doelstellingen? Wordt de eID wel goed in de markt gezet? En – is er wel een business case? Ofwel- zoals men zich in het geval van het BSN – Burger Service Nummer – ook wel afvraagt: wie verleent er service en wie wordt er bediend?
Echter, willen we de business case van de eID boven het domein van G2C uittillen, en gegeven de diversiteit aan Europese oplossingen, is een broker onmisbaar. Maar zo’n broker komt dan wel ‘alles’ van de Europese burger te weten. Weg privacy. De vraag is of daar met zero knowledge cryptografie en challenge response architectuur nog een mouw aan te passen is.
Kortom, er is nog veel werk aan de winkel!
Abonneren op:
Posts (Atom)
